¡Estrenamos cuenta en Twitter!

Con el objetivo cumplido para este 2017 y con ánimo de seguir llegando a más y más público, a partir de hoy está disponible bajo @enredandoconred nuestra cuenta en Twitter.

Diariamente se producen una buena cantidad de noticias, artículos, eventos, informes,  o textos relacionados con la Ciberseguridad en sistemas ICS/SCADA, Infraestructuras Críticas y demás Tecnologías de Operación. Por ello hemos visto que una buena iniciativa es redistribuir de forma rápida cualquier contenido interesante.

Así pues, os animamos a que nos sigáis y comencéis a recibir los tweets que vayamos publicando.

¡Un abrazo!

Edorta

¡Objetivo cumplido, muchas gracias!

No pensaba que a esta altura del año iba a escribir una entrada como la de hoy, pero para mi alegría así es. Y es que estoy de celebración.

Allá por el mes de diciembre del 2016 os contaba cómo, no sólo había superado las 30.000 visitas, sino que se había alcanzado la cifra de 32.378. A partir de ahí, el deseo de superar esa cifra para 2017.  Y con esa idea arrancamos el año.

Pues bien, hoy a punto de comenzar setiembre… ¡ya la hemos alcanzado!

Estadísiticas agosto 2017_01

Esto supone una gran alegría y estímulo ya que revela cómo año tras año este número crece, poniendo de manifiesto la cantidad de internautas, profesionales, investigadores y demás público, buscan, requieren o interesa el contenido relacionado con la Ciberseguridad Industrial.

Y como no podía ser de otra manera, me gustaría dar las gracias. Gracias a todos aquellos contactos y miembros de redes sociales como LinkedIn o Twitter por haber “recomendado”, “compartido” o “retuiteado” alguno de los artículos que por esas vías he ido anunciando. Por supuesto, también a los visitantes que a través de sus búsquedas han dado con el blog parándose a leer lo que allí había. A todos aquellos que de una manera u otra lo han hecho posible, ¡GRACIAS!

Representación 2017_01

Por otro lado también quisiera, además de agradecer, reconocer. Por un lado al Centro de Ciberseguridad Industrial por contribuir a la difusión de artículos haciendo referencias en su Boletín Semanal de todos los lunes. A José Valiente y Miguel García-Menéndez, muchas gracias.  Por otro, al blog Fortixpert, por incluir en su web posts donde se hablaba de funcionalidades de equipos Fortinet para cubrir las necesidades de protección en entornos industriales.  A Jose Luis Laguna, muchas gracias. A mi compañero Antonio Navarrete por abrirme las puertas a eventos y profesionales que han contribuido la difusión del blog. Como no, a Jon Bueno por las oportunidad de trabajar y aprender con él y de él, en el desarrollo del proyecto de Ciberseguridad Industrial en la fábrica de Mercedes-Benz sita en Vitoria-Gasteiz. Por último a Unai Gómez, quien con sus comentarios y aportes me han hecho ver algunos aspectos del blog en los que no había parado. A todos, ¡MUCHAS GRACIAS!

Con esta meta alcanzada, ahora queda ir pensado en los objetivos para el 2018. Quizás sea un poco pronto, pero ya estamos poniendo a echar a andar la maquinaria de cómo introducir novedades y otros apartados de interés.

Un saludo a todos, nos vemos en la siguiente y no te olvides que puedes seguirnos tambieén en @enredandoconred .

¡Un abrazo!

Edorta

Robots, pero no .txt…

Cuando nos referimos a los entornos industriales generalmente lo hacemos con la vista puesta en PLCs, HMIs, sistemas SCADA, sensores, actuadores, etc. Si embargo, hay otros que también están presentes y que a veces pasan desapercibidos. Los robots.

Éstos son capaces no sólo de llevar a cabo tareas repetitivas de forma rápida y precisa , sino reemplazar la labor de una persona, tanto por capacidad como por ahorro en tiempo y dinero. Un tema este que desde hace tiempo está siendo objeto de debates ya que muchos puestos de trabajo podrían peligrar si no se regulariza su uso a corto plazo. Esto cobra más fuerza si tenemos en cuenta los avances tecnológicos que han derivado en lo que conocemos como “Robótica Colaborativa”. Brazos robotizados capaces, no sólo de imitar la labor de operadores tradicionales, sino la de trabajar junto a ellos garantizándose, por supuesto, medidas de seguridad necesarias para prevenir cualquier daño.

Este vídeo habla por si mismo:

Sin embargo en el día de hoy no me voy a centrar en este tipo de robots sino en otros de mayor tamaño presentes en sectores como la industria manufacturera, logística o más concretamente, la automoción. De un tiempo a esta parte se viene hablando que, al igual que otros dispositivos, los robots pueden ser blanco de ataques con unas u otras consecuencias dependiendo de las vulnerabilidades y debilidades que puedan presentar.

En el día de hoy haremos un repaso por sus componentes principales para entender mejor qué partes podrían verse afectadas llegado el caso.

Como decía, de forma genérica, un robot de estas características está compuesto por:

1.- Brazo robótico

Es el componente más visible. A él le asociamos la palabra “Robot” y al que podríamos definir como un manipulador multipropósito reprogramable capaz de mover piezas, materiales y herramientas en diversas trayectorias. Controlado automáticamente, podrá estar compuesto por 3 o más ejes que permiten llevar a cabo los distintos movimientos con el fin de realizar una o varias tareas concretas. En sus extremos podrán disponer de herramientas intercambiables como pinzas, agarres, sensores o cualquier otro tipo según necesidades.

2.- Controlador:

Es dispositivo que gobierna al robot. En él podemos identificar dos subsistemas denominados “módulos” que se encargarán de actuar sobre distintas áreas del mismo. Dependiendo de fabricantes y modelos, esto puede cambiar en cuanto a formatos o arquitecturas, pero en general podremos encontrarnos con:

  • Módulos de Potencia

Encargado de regular la alimentación eléctrica que necesitan tanto el resto de módulos como los servos que mueven los ejes y hacen desplazar al robot por las trayectorias y puntos definidos. Contará con un interruptor principal y otros accionamientos, que estarán en comunicación con los sistemas de seguridad y maniobra para, en caso necesario, suspender el suministro.

  • Módulo de Control

Contará con el computador principal que gobernará el sistema. En él podremos localizar distintos elementos como el mecanismo de paro de emergencia, selector de modo de operación (Manual/Automático), conexiones con otros módulos, leds de estado, etc. También será capaz de gestionar las seguridad en lo que a “Safety” se refiere, recibiendo las señales de sensores o mecanismos que permitirá el paro del robot en caso de error o accidente. Dispondrá de interfaces de entrada y salida de tal manera que los técnicos o ingenieros puedan llevar a cabo la carga de la configuración y parametrización así como otros elementos tipo PLCs, HMIs, vinculados a procesos.

3.- Consola Hombre-Máquina:

Es una unidad conectada al módulo de control con el que se podrá operar el robot. Se trata de pequeñas consolas dotadas con una pantalla, teclado, joystick y accionador de emergencia con el fin de manipular y ajustar parámetros en el brazo robótico de forma manual. Por esta razón, y con el fin de evitar accidentes contra personas,  cuentan con sistemas que obligan, por ejemplo,  a tener presionados simultáneamente dos pulsadores para poder manipularlo. Están dotados de sistemas operativos embebidos, como Windows CE .NET en el caso del fabricante  ABB para su componente Flexpendant. Esto permite la programación “online” a diferencia como veremos más adelante de otra “offline”.

ABB Flexpendat

4.- Programación:

Como resulta evidente al robot hay que parametrizarlo y configurarlo para que realice los movimientos y tareas para los que ha sido pensado. Si bien desde la consola manual pueden llevarse a cabo ciertas tareas, a ésta se le reservan más a la precisión o corrección. El resto de labores se editarán en software destinado a tal efecto como puede ser KUKA.WorkVisual del fabricante KUKA, o RobotStudio en ABB.

Robostudio_01

Desde este software se llevará a cabo lo relativo a la parametrización de los programas que se ejecuten en el robot, movimientos, coordenadas, estados, etc. para luego desde ahí volcarlo al Controlador por alguna de sus interfaces. Estas tareas podrán hacerse, como hemos visto, tanto de forma “online” y “offline” para que cada programador u operador emplee según necesidades.

Sin embargo, los robots no están solos. Éstos se integran con otros dispositivos como son los autómatas. Los casos de uso a los que me he enfrentado hasta la fecha, han sido en los que un PLC ve a un robot como un “esclavo”. Es decir, el autómata ordenará al controlador del robot la ejecución de tal o cual programa según sea necesario. Finalizado, retroinformará para proseguir con las tareas tanto de forma autónoma como de forma conjunta con otros. Obviamente esto no es sencillo ya que entran en juego multitud de señales y medidas, como pueden ser las enviadas por los sensores; detectores de posición; finalización de trabajo antes de comenzar movimientos en otros robots; petición de acceso a una determinada área; respetar tiempos de espera, etc. Pero sobre todo, la implementación de medidas “Safety” y evitar así los temidos accidentes. Según sea el modelo de autómata empleado, éstos podrán incluir estas funcionalidades en sus CPUs o sino depender de otros dedicados a tal efecto. Aparte de estos mecanismos como pulsadores de emergencia, sensórica, barreras de protección, o perímetros restringidos, el propio robot permite que en modo de operación manual puedan establecerse límites y supervisión  en cuanto a velocidad y movimientos. Finalmente para que todo esta interacción sea posible es necesario el uso de buses de campo que permitan la comunicación entre los distintos elementos.

Con la entrada de hoy se pretende arrojar un poco más de información sobre qué elementos componen estos sistemas y la manera en que se comportan. Especialmente cuando no hace demasiado tiempo la firma TrendMicro ha publicado un informe sobre los posibles ataques a los que pueden estar expuestos los robots y las consecuencias que pueden tener, tanto para el proceso como a las personas.

En cualquier caso, espero que en la entrada del día de hoy pueda servir para entender  de forma sencilla algo más sobre estos equipos.

Un saludo a todos, nos vemos en la siguiente y no te olvides que puedes seguirnos también en @enredandoconred .

Edorta

EuskalHack Security Congress II

Allá por junio del año pasado escribí una crónica de lo que fue el primer Congreso de Seguridad del País Vasco, el “EuskalHack Security Congress”. Este año, la asociación se ha puesto manos a la obra para no sólo organizar el segundo sino además, traer consigo algunas novedades para consolidarse como un evento obligado para investigadores, profesionales, amantes o interesados en estos temas.

Logo EuskalHack

Si bien algunos de los ponentes del 2016 repiten en esta edición, habrá muchos nuevos tanto a  nivel nacional como internacional y que seguro van a hacer las delicias de todos los que estemos allí. Los primeros en confirmarse fueron Halvar Flake, Alex Ionescu, Steve Lord y Joxean Koret, a los que han seguido Javier Marcos, Pedro Candel, Andoni Valverde, David Sancho, Pedro Sánches, Félix Brezo, Yaiza Rubio, Mikel Iturbe, Borja Martínez, Josep Albors, Eloi Sanfelix y Cristofaro Mune. 

Si bien la mayoría de ellos se desempeñan como profesionales en empresas como CounterCraft, Telefónica, TrendMicro, ESET, Riscure, Innotec, entre otros, también hay profesores e investigadores como por ejemplo de la Universidad de Mondragón.

Agenda_Día_1

Como miembro de la Asociación, puedo decir con conocimiento de causa que la elección de los ponentes ha sido muy dura, dejándonos con mal sabor de boca  dejar fuera de agenda otros con excelentes propuestas a la par que interesantes. A los que no podrán estar, cualquier agradecimiento es poco por querer compartir con nosotros sus trabajos y hacer crecer este evento.

Otras de las novedades será la impartición de 3 “Trainings” para los días previos. Los mismos serán:

  1. Hacking IPv6 Networks v4.0
  2. Bug hunting bootcamp Discovering 0day
  3. OSINT Tools and Techniques: A Practical Approach

Sin duda una gran oportunidad para formarse y ampliar conocimientos en estas materias.

Agenda_Día_2

El evento además cuenta con descuentos para los asistentes tanto en alojamiento como en transporte. Gesto que es de agradecer teniendo en cuenta aquellos que vienen de lejos  y que, como muchos, no se quieren perder la oportunidad de ver a estos “cracks” dando a conocer el resultado de la inversión de tantas horas de lecturas, práctica e investigación.

Todo esto, y más, lo podéis encontrar en la Web del Congreso . De más está decir que el aforo es limitado y que el precio de las entradas incrementará a medida que estemos más sobre la fecha. Dicho sea de paso, incluyen la comida para ambos días.

Por último agradecer a patrocinadores y colaboradores que con sus aportaciones económicas y contribuciones, hacen posible que este proyecto salga adelante. Sin duda se ha hecho mucho trabajo, pero queda otro tanto por hacer. Sin embargo estamos seguros que la recompensa será el mismo nivel de satisfacción y gratitud en todos los asistentes que se animen a venir y comprobarlo por ellos mismos. No te quedes con las ganas y disfruta con nosotros de Hacking, Pentesting, Reversing, Ciberseguridad Industrial, Exploiting en un lugar de excepción. Y es que, aunque San Sebastián sea nuestro “Centro de Operaciones”, Euskadi también está deseando darte la bienvenida.

Nos vemos el 23 y 24 de junio!

Un saludo.

Edorta

LogicLocker, un ransomware para ICS

Coincidiendo con la celebración de la RSA Security Conference en San Francisco, el pasado 14 de febrero los investigadores Raheem Beyah y David Fromby del Instituto de Tecnología de Georgia (GIT, Georgia Institute of Technology) anunciaron los resultados de una Prueba de Concepto (PoC, Proof of Concept) con la que demostraban cómo se podría llegar a actuar sobre un autómata de la misma manera que lo hace un ransomware tradicional. O dicho de otra manera, podríamos estar ante la primera señal de vida de ransomware para ICS.

captura_02

Las conclusiones de su investigación han quedado reflejadas en un documento que puede ser accedido públicamente desde aquí. Tras su lectura, en el día de hoy voy a hacer un repaso del mismo, haciendo un resumen de aquellos puntos e ideas más significativas con algún que otro aporte propio. Aunque, como veréis en algunos aspectos se repite “la misma canción”.

Los autores comienzan hablando de cómo los ICS (ICS, Industrial Control Systems) están presentes en aquellas infraestructuras que regulan nuestra vida diaria como puede ser el agua, la luz o la maquinaria en empresas manufactureras. Desde la aparición de Stuxnet o la caída de suministro eléctrico en Ucrania, los ataques contra este tipo de instalaciones estaban relacionadas con el sabotaje. No han sido objetivo de organizaciones criminales con una actividad orientada al chantaje o beneficio económico ilícito. ¿Por qué? No porque los Sistemas de Control Industrial sean más seguros, sino que no se había encontrado la manera de rentabilizar de modo alguno este tipo de actividades. En un entorno corporativo (IT) el mayor valor que tiene la organización es la información. La información se convierte en el objetivo. Sin embargo, esto no es así en entornos OT. El mayor valor que tiene los sistemas ICS no es la información que tienen de la compañía. El verdadero valor radica en garantizar la disponibilidad y seguridad (safety) de las instalaciones. Los programas de los autómatas, en sí mismos, no almacenan información tan relevante para la organización como lo pueden ser las Bases de Datos, Correos Electrónicos, ficheros con planes estratégicos de la compañía, etc. Sin embargo, si se compromete, bien por cifrado o alteración el programa del PLC, la instalación no funcionará tal y como ha sido diseñada afectando claramente a la actividad de la empresa. Y esto sí tiene un impacto económico. Sin olvidarnos además de que dicha modificación puede menoscabar la seguridad de las personas (Safety) y, dependiendo de la actividad, incluso daños ecológicos.

sick-safety-switches-800x500-2-770x450

Dispositivos y mecanismo Safety. Imagen extraída de: http://www.advantageind.com/portfolio/safety-switches-controllers-and-protection/

Según esto último, por su impacto en la economía de cualquier organización, las redes industriales serán, probablemente, el próximo objetivo de este tipo de malware. Mediante este documento, los autores afirman haber desarrollado el primer ransomware conocido para PLCs, el cual ha recibido el nombre de LogicLocker. En la PoC, LogicLocker emplea las comunicaciones nativas de la API de un equipo Schneider Modicom M241 para escanear los objetivos vulnerables, en este caso PLCs Allen Bradley Micrologix 1400 y Schneider Modicom M221. Pasada esta fase, los infecta saltando los débiles mecanismos de autenticación, impidiendo a usuarios legítimos la recuperación del dispositivo. Finalmente, se plantea reemplazar el programa original con una “bomba lógica” que provoque acciones sobre los equipos físicos, daños a personas, modificación de las salidas de los autómatas, o cualquier otra si no se realiza el pago en tiempo y forma.

Aquí, conviene resaltar el perfil del atacante. Se concluye que la sofisticación de un ataque es inversamente proporcional a la frecuencia de los ataques. Esto es, los ataques de personas sin conocimientos o perfiles técnicos que reutilizan un exploit conocido, superará a los llevados a cabo por criminales profesionales con unos niveles de preparación mucho mayor y con más probabilidades de éxito, daño y alcance.

Como es sabido, el ransomware busca una rentabilidad económica de la acción, siendo el rescate mayor cuanto mayor sea la indisposición de la información o,  en el caso que nos ocupa, el impacto económico que tiene la pérdida de disponibilidad de las instalaciones.

Beneficio  = Alcance * Valor – Coste de desarrollo

Por tanto, para que un ataque dirigido a ICS sea rentable y dado que un PLC en sí mismo no almacena una información relevante, la meta es  provocar el mayor impacto sobre la operativa de las instalaciones. En esta línea, el ransomware para ICS busca afectar sobre:

Inactividad

Dependiendo de la actividad empresarial de la víctima una caída de sus sistemas de control puede tener un mayor o menor impacto. Imaginemos un fábrica de automóviles donde cada 2 – 3 minutos puede estar finalizado uno o incluso la elaboración de productos de alimenticios donde la materia prima es perecedera y que pueda darse el caso que los sistemas de refrigeración o mezcla de compuestos dejen de funcionar.

Equipamiento

Una de las características de las redes de control es la interacción con elementos físicos, con lo que cualquier manipulación o daño, como norma general, será claramente visible. Cobra especial importancia que la sustitución de estos equipos puede llegar a ser muy complicada, tanto por el reemplazo en sí como por el suministro. Pensemos en un grupo electrógeno para dar servicio en caso de caída de una línea eléctrica, y pasar a  generarla mediante combustible. Pueden pasar meses hasta que se reciba uno si el fabricante no tiene uno en stock.

Personas

En este caso el objetivo son las personas y no los dispositivos. Cuando lo que está en juego son vidas humanas, el interés y la cuantía a pagar siempre será mucho mayor. Esta es una de las lecciones aprendidas de las campañas de ransomware tradicional dirigido sobre Hospitales y Centros de salud.

portada_estudio_01

Para poder ver el efecto de LogicLocker, en cuanto a equipos se refiere, se establecieron dos líneas de trabajo. Por un lado se realizaron búsquedas con Shodan para localizar equipos vulnerables (miles según afirman) y por otro los equipos sobre los cuales se hizo la prueba de concepto. Los equipos en cuestión fueron un Schneider Modicom M221, un Allen Bradley Micrologix 1400 and Schneider Modicom M241. Para tener una idea del beneficio que pudiera darse, mediante Shodan se localizaron un total de 1400 unidades del equipo Micrologix 1400. Si éstas estuvieran en entornos donde se vieran afectadas vidas humanas (siendo más que asegurado el pago), y se solicitaría un rescate de 15.000 € por unidad, el atacante podría obtener un beneficio de 21 millones de euros en un sola operación.

En lo que se refiere a la simluación y anatomía del ataque, el mismo estaría comprendido en 4 fases:

  1. Infección inicial
  2. Movimiento lateral (opcional)
  3. Bloqueo
  4. Cifrado
  5. Negociación del rescate.

La infección inicial puede llevarse a cabo mediante el acceso remoto si el equipo está expuesto en internet o bien mediante el compromiso de otro sistema dentro de la organización y una vez dentro, lanzar el ataque contra alguno de los PLCs. Para comprometerlos, es ampliamente conocido que muchos de éstos no proporcionan medios de autenticación robusto para la carga de nuevos programas. En el mejor de los casos puede deshabilitarse la administración remota, en ese aspecto.

En lo referente al movimiento lateral, el objetivo es comprometer tantos equipos como sea posible. De esta manera el atacante aseguraría un mayor éxito no sólo por la cuantía sino por la certeza del pago. Si solamente se comprometiese uno, sería fácil su sustitución siempre y cuando se tenga el programa correspondiente. Si el compromiso es de varios, ya la posibilidad se ve reducida con lo que al estudiar el impacto que pudiera tener, se optaría por el pago y restaurar la disponibilidad tan pronto como sea posible.

En cuanto al bloqueo del PLC, existen varias opciones. La más sencilla, si dispone de ella, es la configuración de una contraseña de acceso lo más compleja posible. Sin embargo la contraseña de autenticación de muchos PLCs solamente es comprobada en el software del entorno de programación, no en el PLC. Así pues, este mecanismo destinado a la protección el PLC “victima” en realidad impide la recuperación por usuario legítimo no siendo una verdadera protección contra el atacante una vez haya sido comprometido. Sin embargo, como decíamos al principio, si la autenticación se produce del lado del PLC (es éste quién la solicita y no el software al abrir el proyecto) y quisiéramos encontrarla mediante un proceso de autenticación online por fuerza bruta, resultaría inviable debido a la gran cantidad de tiempo necesario aun cuando posea una longitud, de tan sólo, 6 dígitos. Ya por último, se plantea la idea del bloqueo mediante el número de conexiones TCP activas. Algunos PLC tienen un número máximo de ellas, por tanto, el atacante podría hacer uso de todas ellas según el medio elegido.

Incluso si la víctima pudiera recuperar el acceso para reprogramar el PLC, saltandose así las técnicas de bloqueo llevadas a cabo por el atacante, éste podría llevar a cabo otras teniendo en cuenta el cifrado el programa. La más sencilla es cifrar el original por parte del atacante y enviárselo al usuario legítimo. Una vez efectuado el pago, el atacante le facilitaría la herramienta con la que descifrar el programa y poderlo carga de nuevo sobre el PLC. Una segunda que se plantea es, nuevamente el cifrado del programa, pero esta vez almacenarlo en una zona de memoria del PLC. Sin embargo, esto puede no ser viable debido a que algunos PLCs no poseen cantidad suficiente como para ser guardado allí. Finalmente se plantea el tercero de los casos, en lo que estudia la posibilidad de codificar el propio programa en el PLC estableciendo una llave secreta de tal manera que de forma aleatoria se fuera cambiando el contenido del programa. La idea es llevar a cabo una serie de acciones sobre el programa original teniendo como variable dicha “llave secreta” para luego, una vez efectuado el pago, poder revertir el proceso en sentido contrario. No obstante, se corre el riesgo de poder desencadenar un funcionamiento impredecible, así como la nula capacidad para recuperar el programa original.

Como último paso nos quedaría la negociación para el pago del rescate. La forma más sencilla es el envío de un correo electrónico solicitando a la víctima el pago correspondiente aunque, también puede hacerse uso de los clientes de correo electrónico que tienen algunos dispositivos para el envío de alertas a los operadores, dando así una sensación de fortaleza y control mayor. Para reforzar esta idea, pueden verterse amenazas de destrucción del equipamiento conectado mediante la alteración de las instrucciones, a partir de una identificación previa.

Dicho lo cual, llega la hora de explicar cómo se ha llevado a cabo dicha prueba de concepto. Se parte de la idea en la que un atacante ha sido capaz de obtener la contraseña de acceso del equipo Modicon M241, bien por fuerza bruta o por el robo de las credenciales. Con ellas, LogicLocker procede a escanear la red para localizar más equipos vulnerables e infectarlos más adelante. En esa acción procede al bloqueo de Modicom M221 y Micrologix 1400 reprogramándolos con nuevas contraseñas impidiendo el acceso a usuarios legítimos con el software de programación. Para la fase de cifrado se procede a cifrar el programa original y notificar a la víctima mediante el envío de un correo electrónico. Una vez realizado el pago, el atacante enviará un software con el que podrá obtener el programa original, pero en caso contrario, modificará el comportamiento de los PLC para verter cantidad excesivas de cloro dentro del suministro de agua.

Ya en la parte final se establecen las medidas para defenderse y prevenir este tipo de ataques. Obviamente una estrategia “Air-gap” ya no es sinónimo de seguridad sino que se debe apostar por una basada en “Defensa en Profundidad”. Aquí es donde me refería con mi apunte que se repite “la misma canción”.

En el documento se cita a 3 líneas:

  1. Seguridad de Endpoint
  2. Seguridad de red
  3. Políticas

En cuanto a la primera de ellas se habla de medidas tales como cambiar contraseñas por defecto, deshabilitar servicios que no están en uso, emplear ACLs, y otras tantas a las que ya estamos acostumbrados. Pero sobre todo considerar característica de seguridad en lo nuevos productos que se adquieran. Algunos artículos escritos al respecto:

La seguridad en la red resulta indispensable. Se hace hincapié en la separación de los entornos tanto IT como OT realizando un control de los protocolos en el firewall que los separa. Puesto que cualquier cambio en entornos de control ha de realizarse de forma programada y son poco habituales, dicha monitorización facilitará la detección de anomalías en la red. Al margen de ello resulta indispensable disponer de un sistema de backups para restaurar las configuraciones y no tener pagar rescate alguno.

Por último, llegamos a las Políticas. Aquí el objetivo son los usuarios finales, quienes deben estar formados sobre los riesgos que pueden acarrear sus acciones. Además, los entornos de control y automatización no sólo deben disponer de un plan de contingencia ante posibles incidentes sino llevar a cabo también tareas de recuperación en un entorno controlado. Ni qué hablar sobre la implicación de la directiva, equipos de trabajo multidisciplinares y creación de nuevos Roles dentro de la organización.

Así llegamos a un apartado donde se detallan las conclusiones finales. Las redes industriales no han sido objeto de ataques de ransomware ya que los cibercriminales no han encontrado el modelo para obtener un beneficio económico de sus acciones. Con la llegada de este malware que afecta, no a equipos con una arquitectura basada en PC sino a dispositivos de control, se abre una nueva línea; la extorsión. Los recientes ataques a hospitales demuestran lo rentable que puede llegar a ser este malware cuando lo que está en juego son vidas o consecuencias sobre personas. A esto hay que sumar lo débiles, o poco prácticas, que pueden llegar a ser las medidas de autenticación existentes frente a este tipo de ataques. Por tanto resulta inevitable el despliegue de una estrategia de “Defensa en Profundidad” que contemple a la seguridad desde el inicio, y en aquellas ya existentes la toma de medidas que prevengan cualquier actuación hostil que ponga en peligro la disponibilidad de las instalaciones y las vidas humanas.

En cualquier caso, para ataques o accidentes, la creación de un sistema de copias de respaldo tanto de configuraciones, software o firmware debe ocupar un lugar indispensable dentro de las políticas de seguridad de la empresa. Y es que: “Garantizar la disponibilidad no sólo es reducir los riesgos de sufrir un ataque, sino que si lo tenemos poder recuperarnos en el menor tiempo posible”. Y si es gratis, mejor.

Un saludo.

Nos vemos en la próxima!

Nuevo evento Asociación “EuskalHack”, 17/02/17

La Asociación de Seguridad Informática del País Vasco, “EuskalHack” aparte de su Congreso Anual celebra de forma periódica una serie de eventos gratuitos con el fin de promover la cultura de la seguridad informática, fomentando así la acción social entre profesionales, investigadores y demás personas interesadas en estos temas.

asociacion-seguridad-pais-vasco-euskalhack

El próximo 17 de febrero, tendrá lugar el local “Espacio Keler” de San Sebastián (Ramón María Lili Pasealekua, 2) el primero de este 2017.

El programa se basará en la presentación del congreso para este año, que se prevé sea de dos días a diferencia del de año pasado de uno. Si te quedaste con ganas, puedes hacerte una idea de lo que fue en esta entrada “Cronica: I EuskaHack Security Congress”. La cosa para este año promete, y mucho, teniendo en cuenta los 3 reconocidos investigadores de talla internacional  que ya, a estas alturas, están confirmados:

Halvar Flake (@halvarflake)

Alexander Ionescu (@aionescu)

Steve Lord (@stevelord)

Tras la parada para el “Networking” será Joxean Koret (@matalaz) quién nos hable de “Cosa Nostra, un toolkit de clusterización de malware open source”. Joxean, miembro de la Asociación también fue ponente del año pasado y, al igual que Halvar, Alexander y Steve, lo podemos encontrar en otras de primer nivel dentro y fuera de fronteras.

Nuevamente una paradita, y para terminar será Jesús Lizarraga (@JL_picard) de “Mondragon Unibersitatea” quién nos expondrá un tema tan actual como interesante “Ciberseguridad en Industria 4.0 ¿Debemos preocuparnos?” Deber + Preocupación + , Pregunta , uhmmmm suena muy pero que muy bien.

En fin, por ahora toca esperar….

Si bien el evento es gratuito, es necesario registro previo. El mismo lo podéis hacer desde aqui aunque es en su página Web, en concreto en su área de “Activiades” dónde encontraréis esta y más información.

El programa, para el próximo  día 17 queda resumido de la siguiente manera:

  • [17.10] Recepción de Asistentes
  • [17.30] Presentación EuskalHack Security Congress II
  • [18.00] Networking
  • [18:15] Ponencia: “Cosa Nostra” Un toolkit de clusterización de malware open source. Joxean Koret (staff member)
  • [19.00] Networking
  • [19.15] Ponencia: Ciberseguridad en Industria 4.0 ¿Debemos preocuparnos?.  Jesús Lizarraga (Mondragon Unibersitatea)
  • [20.00] Cierre

Así que ya sabéis, si os queréis acercar para pasar un buen rato y conocer gente nueva que comparta tus inquietudes tecnológicas, este día tienes una estupenda oportunidad para hacerlo. Mientras tanto puedes estar atento sobre las novedades en @EuskalHack.

Acercate! No te lo puedes perder!

Un saludo!

¡Adiós 2016, Bienvenido 2017!

A principios de mes veía cómo había superado mis expectativas para este año, ¡alcanzaba las 30.000 visitas! Los días han ido pasando y más gente ha seguido llegando hasta llegar a las 32.290.

visitas-2016

Como os podéis imaginar la satisfacción es enorme y supone una motivación extra para seguir elaborando nuevos artículos. Ahora toca seguir mejorando tanto en cantidad como en calidad no sólo para llegar cada vez a más público sino también para ofrecer en habla hispana un contenido cada vez más demandado dentro de la digitalización de la Industria e Infraestructuras Críticas.

Con objetivo cumplido, ponemos la vista en el nuevo año que comienza con nueva ideas en la cabeza que espero… os gusten.

Y para terminar algunos enlaces de estas últimas semanas:

  1. Los efectos sociales de la digitalización. Enlace.
  2. IoT, cuando ser más grande no es ser mejor. Enlace.
  3. Ransomware en ICS/SCADA. Enlace.
  4. PLCs como sistemas de distribución de Payloads. Enlace.
  5. SANS Industrial Control Systems Library: Webcasts. Enlace.
  6. 4 Herramientas para dar el paso a la Industria 4.0. Enlace.

Muchas gracias por vuestro tiempo!

Un saludo y próspero año nuevo!

A trabajar!